PAM і хмарна безпека: аргументи на користь постійних нульових привілеїв

Хмара представила абсолютно нові середовища, ролі та обставини, які вимагають від нас переосмислення керування привілейованим доступом (PAM) і застосування методів керування обліковими записами. PAM було побудовано на уявленні про те, що особистими даними потрібно не просто керувати, а захищати їх з метою утримати в безпеці найцінніші активи організації. Загальновизнані цінності PAM залишаються дуже бажаними – найменші привілеї, контроль доступу на основі ролей і можливість аудиту сеансів із високим ризиком. Завдання полягає в застосуванні всіх цих принципів до цих нових умов, ролей і обставин.

Нові хмарні середовища — нові вимоги безпеки

Розмежувати відповідальність за безпеку в локальних середовищах відносно просто, оскільки на кожному рівні інфраструктури можна провести чіткі межі. Існує фізичний центр обробки даних, фізичні мережеві кабелі, окремі мережеві протоколи, які проходять через дроти, фізичні стійки, які містять обчислювальні пристрої чи сховища — і так по всьому ІТ-стеку.

Ці лінії поділу та розподілу обов’язків повністю зникають у хмарних середовищах, незалежно від того, працюєте ви в гібридному середовищі (піднімаючи та переміщуючи робочі навантаження в хмару) чи використовуєте хмарний підхід (створюєте програми за допомогою архітектури мікросервісів).

Illustration

Можливо, найбільш розповсюдженим прикладом використання хмари є те, що користувач AWS надає бакет простої служби зберігання (S3) для зберігання електронних файлів. У локальному світі це еквівалентно тому, що хтось проникає в центр обробки даних, штовхає стійку на візку до центру обробки даних, розміщує стійку в центрі обробки даних, підключає до неї жорсткі диски та кабелі Ethernet. Зрозуміло, що це ніколи не буде дозволено в традиційних локальних умовах, і це демонструє, чому ми не можемо розглядати доступ до постачальника хмарних послуг (CSP) як «ще одну консоль» у хмарних середовищах. 
Наш аналіз трьох основних CSP показує, що користувач може отримати доступ приблизно до 1400 власних служб (наприклад, AWS S3, Microsoft Azure Kubernetes Service або Google Cloud BigQuery), які разом мають 40 000 різних засобів контролю доступу… і ця кількість зростає щодня.

Очевидно, що ми не можемо застосувати традиційне поняття невеликої кількості ролей адміністратора зі статичними привілеями до цього динамічного середовища.

Аналіз трьох основних CSPS, проведений CyberArk, показує, що користувач може отримати доступ приблизно до 1 400 нативних сервісів. Сукупно ці сервіси мають понад 40 000 різних засобів контролю доступу.

Illustration

Перевантаження адміністратора та зміна ролей

Традиційні програми мають прості, чіткі кордони між адміністраторами та користувачами. За допомогою цих програм звичайні користувачі зазвичай не можуть отримати доступ до конфіденційних систем і даних. Наприклад, працівник, який використовує Outlook, може надсилати й отримувати електронні листи, але ніколи не виконувати таких завдань, як зміна налаштувань POP чи SMTP, або ж додавання чи видалення користувачів. Будь-хто, хто має доступ до хмари, може отримати доступ до 1400 власних сервісів: від базових можливостей, таких як обчислення чи зберігання, і до складних можливостей, таких як механізми штучного інтелекту (AI) і машинного навчання (ML). Можливо, для декого це дивно, але серед цих 1400 власних служб також є низка служб SaaS: механізми робочого процесу, обробка відео та обмін миттєвими повідомленнями. Цілком логічно, що адміністратором слід вважати будь-кого, хто має право купувати та використовувати будь-що з перерахованого вище.

Illustration

Особливо важливо відзначити, що з’явилася ціла нова група «адміністраторів»: розробники програмного забезпечення. За кількома винятками, усі сучасні інструменти та процеси розробки програмного забезпечення виконуються в хмарі, де й розгортається отримане програмне забезпечення. Усі розробники програмного забезпечення тепер вважаються хмарними «адміністраторами» і також мають бути захищеними. Проте задля безпеки ідентифікаційної інформації було принесено в жертву швидкість розробки.

77% фахівців з безпеки кажуть, що розробники мають забагато привілеїв, що робить їх дуже привабливими мішенями для зловмисників і збільшує рахунки за кібербезпеку. Ці широкі дозволи користувача були налаштовані з урахуванням усіх можливих обставин, з якими він може зіткнутися, оскільки попередні системи були негнучкими та статичними. Розробники повинні впроваджувати інновації; вони не можуть чекати, поки їхні спільні облікові записи будуть створені та захищені для кожної служби чи робочого навантаження, до яких вони потребують доступу, особливо короткочасного. Цей негнучкий підхід відхиляється від найкращих практик хмарних постачальників і створює неприйнятні затримки в термінах розробки. 

Хмарні архітектури та нові обставини

Розвиток мікросервісів створив фантастичний масштаб, ефективність і економію коштів. Однак також це породило переплетену мережу залежностей і складності для будь-якої справжньої хмарної програми. Взаємодія 700 мікросервісів Netflix у 2014 році була справді вишуканим та небаченим досі видовищем. Сьогодні їх у Netflix понад 1000 і це нікого не дивує.

Нова обставина, створена архітектурою хмарних мікросервісів, полягає в тому, що збій впливає на всіх клієнтів. Проста ізоляція зникла. Це не єдина монолітна програма ERP або проста програма електронної пошти, на яку впливає лише сегмент користувачів. Архітектура програми мікросервісу означає, що це стосується всіх користувачів. Коли будь-яка система має неминучу нестабільність або збій, інженерам, які працюють за викликом, має бути дозволено блукати по всьому виробничому середовищу для усунення несправностей, діагностики та розв'язання проблеми.

Це одна з багатьох обставин, яких не існувало в класичному ІТ-середовищі.

Illustration

Постійні нульові привілеї: практичний підхід до захисту Cloud Identity

Для застосування принципів нульової довіри у світі з такими середовищами, ролями та обставинами, а також для збереження швидкості потрібен новий підхід: постійний нульовий привілей (ZSP). ZSP повністю видаляє всі повноваження, пов’язані з будь-яким користувачем, коли вони не використовуються, але може динамічно надавати права на ходу для користувачів залежно від обставин. Крім того, система ZSP усуває можливість бокового переміщення та забезпечує дотримання правил проти вбудованих облікових даних.

Фахівці з безпеки повинні мінімізувати легкість доступу та ризики, одночасно зберігаючи швидкість процесів розробки, DevOps та ІТ. Зосередження на ZSP є найбільш життєздатним способом досягнення цих цілей шляхом запобігання крадіжці облікових даних і обмеження бокового переміщення, що дозволяє організаціям використовувати всі переваги хмари.

Чарльз Чу — генеральний менеджер Cloud Security у CyberArk.